Přehled hybridního moderního ověřování a požadavky na jeho použití s místními Skype pro firmy a servery Exchange

  • Článek

Tento článek se týká Microsoft 365 Enterprise i Office 365 Enterprise.

Moderní ověřování je metoda správy identit, která nabízí bezpečnější ověřování a autorizaci uživatelů. Je k dispozici pro Office 365 hybridní nasazení místního Skype pro firmy serveru a místního exchange serveru a hybridních Skype pro firmy s rozdělenou doménou. Tento článek odkazuje na související dokumenty o požadavcích, nastavení nebo zakázání moderního ověřování a na některé související informace o klientech (např. Klienti Outlook a Skype).

Co je moderní ověřování?

Moderní ověřování je zastřešující pojem pro kombinaci metod ověřování a autorizace mezi klientem (například přenosným počítačem nebo telefonem) a serverem a také některá bezpečnostní opatření, která spoléhají na zásady přístupu, které už možná znáte. Zahrnuje:

  • Metody ověřování: Vícefaktorové ověřování (MFA); ověřování čipovými kartami; Ověřování na základě klientských certifikátů
  • Metody autorizace: Implementace otevřené autorizace (OAuth) od Microsoftu
  • Zásady podmíněného přístupu: Správa mobilních aplikací (MAM) a Microsoft Entra Podmíněný přístup

Správa identit uživatelů pomocí moderního ověřování poskytuje správcům řadu různých nástrojů, které můžou používat při zabezpečení prostředků, a nabízí bezpečnější metody správy identit pro místní prostředí (Exchange a Skype pro firmy), hybridní Exchange a Skype pro firmy hybridní scénáře nebo scénáře s rozdělenou doménou.

Vzhledem k tomu, že Skype pro firmy úzce spolupracuje se serverem Exchange, bude chování při přihlašování Skype pro firmy klientských uživatelů ovlivněno stavem moderního ověřování Exchange. Platí také v případě, že máte hybridní architekturu s Skype pro firmy rozdělenou doménou, ve které máte Skype pro firmy Online i Skype pro firmy místně, přičemž uživatelé jsou v obou umístěních.

Další informace o moderním ověřování v Office 365 najdete v tématu Podpora Office 365 klientských aplikací – vícefaktorové ověřování.

Důležité

Od srpna 2017 budou mít všichni noví tenanti Office 365, kteří zahrnují Skype pro firmy Online a Exchange Online, ve výchozím nastavení povolené moderní ověřování. U již existujících tenantů nedojde ke změně výchozího stavu ma, ale všichni noví tenanti automaticky podporují rozšířenou sadu funkcí identit, které jsou uvedené výše. Pokud chcete zkontrolovat stav ma, projděte si část Kontrola stavu moderního ověřování místního prostředí .

Co se změní, když použiju moderní ověřování?

Při použití moderního ověřování s místním Skype pro firmy nebo exchange serverem stále ověřujete uživatele místně, ale příběh autorizace jejich přístupu k prostředkům (jako jsou soubory nebo e-maily) se mění. To je důvod, proč i když se moderní ověřování týká komunikace mezi klientem a serverem, kroky prováděné během konfigurace ma vedou k tomu, že evoSTS (služba tokenů zabezpečení používaná Microsoft Entra ID) se nastaví jako Auth Server pro Skype pro firmy a místní Exchange Server.

Změna na evoSTS umožňuje místním serverům využívat výhod OAuth (vystavování tokenů) k autorizaci klientů a také místnímu prostředí používat metody zabezpečení běžné v cloudu (například vícefaktorové ověřování). Kromě toho evoSTS vydává tokeny, které uživatelům umožňují požadovat přístup k prostředkům bez zadání hesla v rámci žádosti. Bez ohledu na to, kde jsou vaši uživatelé (online nebo místní) a bez ohledu na to, které umístění je hostitelem potřebného prostředku, se EvoSTS stane jádrem autorizace uživatelů a klientů po nakonfigurování moderního ověřování.

Pokud například klient Skype pro firmy potřebuje přístup k serveru Exchange, aby získal informace kalendáře jménem uživatele, použije k tomu knihovnu Microsoft Authentication Library (MSAL). MSAL je knihovna kódu navržená tak, aby se zabezpečené prostředky v adresáři zpřístupnily klientským aplikacím pomocí tokenů zabezpečení OAuth. MSAL spolupracuje s OAuth při ověřování deklarací identity a výměně tokenů (místo hesel) a uděluje uživateli přístup k prostředku. V minulosti byla autoritou v transakci, jako je tato – server, který ví, jak ověřovat deklarace identity uživatelů a vydávat potřebné tokeny – místní služba tokenů zabezpečení nebo dokonce Active Directory Federation Services (AD FS). Moderní ověřování ale centralizuje danou autoritu pomocí Microsoft Entra ID.

To také znamená, že i když váš server Exchange a Skype pro firmy prostředí můžou být zcela místní, autorizační server je online a vaše místní prostředí musí mít možnost vytvořit a udržovat připojení k vašemu Office 365 předplatnému v cloudu (a Microsoft Entra instance, kterou vaše předplatné používá jako svůj adresář).

Co se nezmění? Ať už jste v hybridním prostředí s rozdělenou doménou nebo používáte místní Skype pro firmy a Exchange Server, všichni uživatelé se musí nejprve ověřit v místním prostředí. V hybridní implementaci moderního ověřování odkazuje Lyncdiscovery i Automatická konfigurace na váš místní server.

Důležité

Pokud potřebujete znát konkrétní Skype pro firmy topologií podporovaných s MA, je to popsané tady.

Kontrola stavu moderního ověřování místního prostředí

Vzhledem k tomu, že moderní ověřování mění autorizační server používaný v případě, že služby používají OAuth/S2S, musíte vědět, jestli je moderní ověřování povolené nebo zakázané pro místní prostředí Skype pro firmy a Exchange. Stav na serverech Exchange můžete zkontrolovat spuštěním následujícího příkazu PowerShellu:

Get-OrganizationConfig | ft OAuth*

Pokud je hodnota vlastnosti OAuth2ClientProfileEnabledFalse, moderní ověřování je zakázané.

Další informace o rutině najdete v Get-OrganizationConfig tématu Get-OrganizationConfig.

Servery Skype pro firmy můžete zkontrolovat spuštěním následujícího příkazu PowerShellu:

Get-CSOAuthConfiguration

Pokud příkaz vrátí prázdnou vlastnost OAuthServers nebo pokud hodnota vlastnosti ClientADALAuthOverride není povolená, moderní ověřování je zakázané.

Další informace o rutině najdete v Get-CsOAuthConfiguration tématu Get-CsOAuthConfiguration.

Splňujete požadavky na moderní ověřování?

Než budete pokračovat, ověřte a zaškrtněte tyto položky ze seznamu:

  • Skype pro firmy specifické

    • Všechny servery musí mít kumulativní aktualizaci z května 2017 (CU5) pro Server Skypu pro firmy 2015 nebo novější.
      • Výjimka – Zařízení SBA (Survivability Branch) může být v aktuální verzi (na základě Lyncu 2013)
    • Vaše doména SIP se přidá jako federovaná doména v Office 365
    • Všechny front-endy SFB musí mít odchozí připojení k internetu, aby Office 365 adresy URL ověřování (TCP 443) a dobře známé kořenové seznamy CRL certifikátů (TCP 80) uvedené v řádcích 56 a 125 v části "Microsoft 365 Common and Office" Office 365 adresy URL a rozsahy IP adres.

  • Skype pro firmy místně v hybridním prostředí Office 365

    • Nasazení Server Skypu pro firmy 2019 se všemi servery se systémem Server Skypu pro firmy 2019.
    • Nasazení Server Skypu pro firmy 2015 se všemi servery Server Skypu pro firmy 2015.
    • Nasazení s maximálně dvěma různými verzemi serveru, jak je uvedeno níže:
      • Server Skypu pro firmy 2015
      • Server Skypu pro firmy 2019
    • Všechny Skype pro firmy servery musí mít nainstalované nejnovější kumulativní aktualizace. Informace o vyhledání a správě všech dostupných aktualizací najdete v tématu Server Skypu pro firmy aktualizace.
    • V hybridním prostředí není Lync Server 2010 ani 2013.

Poznámka

Pokud vaše Skype pro firmy front-endové servery používají proxy server pro přístup k internetu, musí být použitá IP adresa proxy serveru a číslo portu zadány v části konfigurace souboru web.config pro každý front-end.

  • C:\Program Files\Server Skypu pro firmy 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Server Skypu pro firmy 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Důležité

Nezapomeňte se přihlásit k odběru informačního kanálu RSS pro Office 365 adres URL a rozsahů IP adres, abyste měli aktuální informace o nejnovějších výpisech požadovaných adres URL.

  • Exchange Server specifické

    • Používáte Exchange Server 2013 CU19 a novější, Exchange Server 2016 CU8 a novější nebo Exchange Server 2019 CU1 a novější.
    • V prostředí není exchange server 2010.
    • Přesměrování zpracování SSL není nakonfigurováno. Podporuje se ukončení protokolu SSL a opětovné šifrování.
    • V případě, že vaše prostředí využívá infrastrukturu proxy serveru, aby serverům umožnilo připojení k internetu, ujistěte se, že všechny servery Exchange mají proxy server definovaný ve vlastnosti InternetWebProxy .

  • Exchange Server místně v hybridním prostředí Office 365

    • Pokud používáte Exchange Server 2013, musí mít aspoň jeden server nainstalované role serveru Poštovní schránka a Klientský přístup. I když je možné nainstalovat role Poštovní schránka a Klientský přístup na samostatné servery, důrazně doporučujeme nainstalovat obě role na stejný server, abyste zajistili větší spolehlivost a lepší výkon.
    • Pokud používáte Exchange Server 2016 nebo novější verzi, musí mít aspoň jeden server nainstalovanou roli poštovního serveru.
    • V hybridním prostředí není exchange server 2007 ani 2010.
    • Všechny servery Exchange musí mít nainstalované nejnovější kumulativní aktualizace. Informace o vyhledání a správě všech dostupných aktualizací najdete v tématu Upgrade Exchange na nejnovější kumulativní Aktualizace.

  • Požadavky na klienta a protokol Exchange

    Dostupnost moderního ověřování je určena kombinací klienta, protokolu a konfigurace. Pokud klient, protokol nebo konfigurace moderní ověřování nepodporuje, bude klient dál používat starší ověřování.

    Následující klienti a protokoly podporují moderní ověřování s místním Exchangem, pokud je v prostředí povolené moderní ověřování:

    Klienty Primární protokol Poznámky
    Outlook 2013 a novější
    		 MAPI přes HTTP
    		 Aby bylo možné používat moderní ověřování s těmito klienty, musí být v systému Exchange povoleno rozhraní MAPI přes HTTP (povoleno nebo True pro nové instalace Exchange 2013 Service Pack 1 a novějších); Další informace najdete v článku Jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.
    Ujistěte se, že používáte minimální požadovaný build Outlooku. Viz Nejnovější aktualizace pro verze Outlooku, které používají Instalační službu systému Windows (MSI).
    Outlook 2016 pro Mac a novější
    		 Webové služby Exchange
    Outlook pro iOS a Android
    		 Synchronizační technologie Microsoftu
    		 Další informace najdete v tématu Použití hybridního moderního ověřování v Outlooku pro iOS a Android .
    protokol Exchange ActiveSync klientů (například iOS11 Mail)
    		 Exchange ActiveSync
    		 U klientů protokol Exchange ActiveSync, kteří podporují moderní ověřování, je nutné profil znovu vytvořit, aby bylo možné přepnout ze základního ověřování na moderní ověřování.

    Klienti a/nebo protokoly, které nejsou uvedené v seznamu (například POP3), nepodporují moderní ověřování s místním Exchangem a nadále používají starší ověřovací mechanismy i po povolení moderního ověřování v prostředí.

  • Obecné požadavky

    • Scénáře doménové struktury prostředků vyžadují obousměrný vztah důvěryhodnosti s doménovou strukturou účtů, aby se zajistilo správné vyhledávání identifikátorů SID během žádostí o hybridní moderní ověřování.

    • Pokud používáte službu AD FS, měli byste mít pro federaci windows 2012 R2 AD FS 3.0 nebo novější.

    • Konfigurace vaší identity jsou některé z typů podporovaných službou Microsoft Entra Connect, jako je synchronizace hodnot hash hesel, předávací ověřování a místní služba TOKENS podporovaná službou Office 365.

    • Máte nakonfigurovanou službu Microsoft Entra Connect, která funguje pro replikaci a synchronizaci uživatelů.

      Poznámka

      Žádné uživatelské účty, které nejsou synchronizované se službou Microsoft Entra Identity, nebudou prostřednictvím hybridního moderního ověřování poskytnuty autorizační tokeny. Jakmile je místní aplikace nakonfigurovaná tak, aby jako výchozí koncový bod autorizace používala evoSTS, budou mít tyto uživatelské účty, které nejsou synchronizované, problémy s přístupem k aplikaci, pokud nebude dostupná odpovídající konfigurace.

    • Ověřili jste, že je mezi místním a Office 365 prostředím nakonfigurovaný hybridní režim klasické topologie Exchange. V oficiálním prohlášení o podpoře hybridního Exchange je uvedeno, že musíte mít buď aktuální cu, nebo aktuální CU – 1.

      Poznámka

      Hybridní moderní ověřování není podporováno hybridním agentem.

    • Ujistěte se, že se k Skype pro firmy desktopovému klientovi (pokud chcete používat moderní ověřování pomocí Skypu) a k Microsoft Outlooku (pokud chcete používat moderní ověřování s Exchangem) přihlásit místní testovací uživatel i uživatel s hybridním testem, který je v Office 365.

    • Ujistěte se, že nastavení SignInOptions v Microsoft Office není nakonfigurované na nejvíce omezující nastavení. Další informace najdete v článku Jak povolit office připojení k internetu.

Co dalšího potřebuji vědět, než začnu?

  • Všechny scénáře pro místní servery zahrnují nastavení moderního místního ověřování (ve skutečnosti pro Skype pro firmy existuje seznam podporovaných topologií), aby byl server zodpovědný za ověřování a autorizaci v Microsoft Cloudu (služba tokenů zabezpečení Microsoft Entra ID označovaná jako evoSTS) a aktualizace. Microsoft Entra ID o adresách URL nebo oborech názvů používaných vaší místní instalací Skype pro firmy nebo Exchange. Proto místní servery přebírají závislost na cloudu Microsoftu. Provedení této akce by se dalo považovat za konfiguraci hybridního ověřování.
  • Tento článek obsahuje odkazy na další, které vám pomůžou vybrat podporované topologie moderního ověřování (nezbytné pouze pro Skype pro firmy), a články s návody, které popisují postup instalace nebo postup zakázání moderního ověřování pro místní Exchange a místní Skype pro firmy. Pokud budete potřebovat domovskou základnu pro používání moderního ověřování v serverovém prostředí, tuto stránku v prohlížeči si oblíbíte jako oblíbenou.